一、单项选择题(本大题共10小题,每小题2分,共20分) 在每小题列出的四个备选项中只有一个最符合题目要求, 请将其代码填写在题后的括号内。错选、
1.
C/D )的说法最准确地说明了对用户权限的限制有助于防范木马病毒。 如
如果用户没那么也就无法更改系统的安金设置 那么也A. 果用户没冇删除程序的权限, 如果用户没冇删除程序的权限,
B. 有安装程序的权限, 如果用户没冇安装程序的权限,能删除杀毒软件和反木马病毒软件 那么安 C. D.
装木马程序的可能性也将减少 那么也就无法安装木马病毒程序
2.和普通病毒相比,蠕虫最重要的特点是(
A.蠕虫可以传播得更为广泛 多选或未选均无分。
B. 和没有生命的病毒相比,蠕虫是一种有繁殖能力的小虫子 C. 蠕虫比病毒更经常删除注册表健值和更改系统文件 D. 嚅虫更有可能损害被感染的系统 4. 主要危害系统文件的病毒是( B ) A. 文件型 B.引导型 C.网络病毒 D.复合型 5. 一般意义上,木马是( D ) o A. 具有破坏力的软件
B. 以伪装善意的面口出现,但具有恶意功能的软件 C. 不断自我复制的软件 D. 窃取用户隐私的软件
6. 计算机病毒根据与被感染对象的关系分类,可分为(A ) o A. 引导区型、文件型、混合型 B. 原码型、外壳型、复合型和网络病毒 C. 寄生型、伴随型、独立型 D. 良性型、恶性型、原码型和外壳型
7. 下面哪种情况可能会成为远程执行代码的高危漏洞( A. 原内存块的数据不可以被改写
B. 存在根据原内存块中的数据盲接或间接地改变程序执行流程的代码 C. 假冒知名网站 D. 浏览器劫持
8. 若岀现下列现象( C )时,应首先考虑计算机感染了病毒。 A.
)。
不能读取光盘 B.系统报告磁盘已满
C.程序运行速度明显变慢 D.开机启动Windows 先扫描硬盘
9. 按照目前比较普遍的分类方法,下面哪类软件不属于流氓软件(D ) o A.广告软件
C.强制安装的恶意共享软件
B.间谍软件及行为记录软件 D.感染了宏病毒的Word文件
10. 以下方法中,不适用于检测计算机病毒的是( C ) o A.特征代码法 B.校验和法 C.加壳 D.软件模拟法
二、多项选择题(本大题共10小题,每小题2分,共20分)在每小题的备选 项
中有多个选项符合题目要求,请将其代码填写在题后的括号内。错选、 漏选、多选或不选均无分。
1.
网络入侵,从过程上看,包括以下入侵步骤( BD A.扫描特定漏洞、绑带合法软件 B.信息反馈、建立连接 C.隐蔽自身、破坏文件
2. PE文件的构成包扌舌以下部分( A. DOS MZ header 和 Dos stub C. Section table
3. 蠕虫病毒常用扫描策略包括( BC A.转换列表扫描
C.选择性随机扫描
4. 嚅虫程序的基木功能结构包括( A.进程注入模块 B.扫描搜索模块 5. 计算机病毒的特征为(AB A. 潜伏性、、传染性
B. 非法性、隐藏性、破坏性 C. 可预见性、复发性
D. 可触发性、变异性、表现性 6.防范脚本病毒的安全建议是(ABD
D.传播木马、运行木马 ABC D ) o
B. PE header D. sections
)O
木马的)
B. 分治扫描
D.系统特定文件扫描 BCD )。 C. 传输模块 D.攻击模块
)O
) o
A.养成良好的上网习惯 B.经常整理硬盘
C.发现病毒后将其清除 D.安装合适的主流杀毒软件和个人防火墙 8. 当前的防病毒软件可以( AC A.自动发现病毒入侵的一些迹象并阻止病毒的入侵 B. 杜绝一切计算机病毒感染计算机系统
C. 在部分病毒将要入侵计算机系统时发岀报警信号 D. 使入侵的所有计算机病毒失去破坏能力
BCD 9. 计算机漏洞的通用防护策略是 (
A.分治扫描 B.调用者审核 C.数据执行保护(DEP) D. 自动备份 10. 病毒高级代码变形技术有( A.ABCD ) o 加壳 B.代码重组 C.寡型病毒
D.多态变形病毒
)。
三、填空题(本大题共5小题,每小题2分,共10分)请在每小题的空格中 填上
正确答案。每空1分,错填、不填均无分。
1 ?计算机病毒常用的反制技术包插了 (禁止反病毒软件的运行 )和
( 卸载反病毒软件的功能 )。 2. ( 检测商用虚拟机 )和( 反?反病毒仿真技术 )都是 病毒常用的反动态分析、检测技术。
3. 目前防病毒软件产品普遍应用了一种称为启发式代码扫描的技术,这是一种 基于( 熄拟机 )技术和( 智能分析 )手段的病 毒检测技术。
4. 计算机病毒结构一般由(引导模块)、条件判断模块、(破坏表现模块)、 传
染模块、掩饰模块等组成。
四、判断题(本大题共5小题,每小题2分,共10分)判断是对的在括号内 填丁,
是错的填X。
1. ( V )计算机病毒程序传染的前提条件是随其它程序的运行而驻留内存。 2. ( X )计算机病毒通常采用商用虚拟机检测技术以躲避静态分析。(动 态分
析)
4. ( V )指令ADD EAX, 8可变换为等价指令LEA EAX, [EAX+8]。
5. ( X ) “特洛伊木马”(Trojan Horse)程序是黑客进行IP欺骗的病毒程 序。
简答题(本大题共5小题,每小题8分,共40分)
1. 什么是网络钓鱼?网络钓鱼主要手段有哪儿种? P10
答:网络钓鱼是一种利用Internet实施的网络诈骗,通过发送声称来自知名 机构的欺骗性邮件及伪造web站点进行欺骗活动,以得到受骗者的个人信息, 如信用卡账号密码等。
主要手段:a、利用电子邮件
b、 利用木马程序 c、 利用虚拟网址 d、 假冒知名网站 e、 利用即时通信消息攻击 f、 综合钓角法
2. 什么是启发式分伸,启发式分析的基木原理是什么?
答:启发式分析是利用计算机病毒的行为特征,结合以往的知识和经验,对 耒知的可疑病毒进行分析与识别。
它的基本原理是通过对一?系列病毒代码的分析,提取一?种广谱特征码,
即代表病毒的某一种行为特征的特殊程序代码,然后通过多种广谱特征码,综合 考虑各种因素,确定到底是否病毒,是哪一种病毒。 3. 什么是脚木病毒和WSH?二者是何关系?
答:脚本病毒:是指利用.asp、?html、?htm、?vbs、.js等类型文件进行传 播的基于 VB Script 和 Java Script 脚本语言并由 Windows Scripting Host 解释执行的一类病毒。
WSH:是 Windows Scripting Host 的缩写,含义为“Windows 脚木缩主\。 它内嵌与Windows操作系统屮的脚本语言工作环境,主要负责脚本的解释和执 行。
关系:WSH是脚木病毒的执行环境。 4. 什么是花指令?花指令有什么作用?
答:花指令指的是计算机病毒作者为了欺骗反汇编软件,迷惑分析人员,给分析人员增 添障碍而在计算机代码中添加的看似有用,其实是一无是处的代码。 花指令的作用是:a、欺骗反汇编软件,使其显示不止确的反汇编结果;
b、 T扰病毒分析人员,给分析工作添加障碍; c、 改变程序代码特征
5. 简述木马的定义、基木特征以及传播特性。
答:木马是指隐藏在正常程序中的一段具冇特殊功能的恶意代码,具备破坏和删除文件、 窃取密码、记录键盘、攻击等功能,会破坏用户系统甚至使用户系统瘫痪。
基木特征:隐藏性、自动运行性、欺骗性、自动恢复功能、自动打开特别的窗口、具备特殊能。
传播特性:a、以邮件附件的形式传播;
b>通过QQ、ICQ等聊天工具软件传播;
c、 通过提供软件下载的网盘(Web/FTP/BBS)传播; d、 通过一般的病毒和蠕虫传播; e、 通过带木马的磁盘和光盘传播。
功
《计算机病毒与防范》复习提纲.doc
